TECHNOLOGY

FTC चाहता है कि कंपनियां Log4j फास्ट खोजें। यह इतना आसान नहीं होगा

उनका कहना है कि इस तरह के मुद्दों से छोटे और मझोले व्यवसायों पर प्रतिकूल प्रभाव पड़ने की संभावना है – और इसे आसानी से ठीक करना असंभव बना देता है। सोनाटाइप विश्लेषण ने पाया है कि Log4j की खपत का लगभग 30 प्रतिशत उपकरण के संभावित कमजोर संस्करणों से है। फॉक्स कहते हैं, “कुछ कंपनियों को संदेश नहीं मिला है, सामग्री नहीं है, और यह भी नहीं पता कि कहां से शुरू करना है।” सोनाटाइप उन कंपनियों में से एक है जो समस्या की पहचान करने के लिए एक स्कैनिंग उपकरण प्रदान करती है, यदि यह मौजूद है। एक क्लाइंट ने उन्हें बताया कि इसके बिना, उन्हें 4,000 एप्लिकेशन स्वामियों को एक ईमेल भेजना होगा जो वे काम करते हैं और उनसे व्यक्तिगत रूप से यह पता लगाने के लिए कहते हैं कि क्या वे प्रभावित हुए हैं।

इस मुद्दे का एक हिस्सा, निश्चित रूप से, ओपन सोर्स पर लाभकारी व्यवसायों द्वारा अत्यधिक निर्भरता है, स्वयंसेवकों की एक छोटी, अतिरंजित टीम द्वारा विकसित और बनाए रखा गया मुफ्त सॉफ्टवेयर। Log4j के मुद्दे पहले नहीं हैं—the 2014 में ओपनएसएसएल को तबाह करने वाला हार्दिक बग इसी तरह की समस्या का एक हाई-प्रोफाइल उदाहरण है—और यह आखिरी नहीं होगा। सॉफ़्टवेयर आपूर्ति श्रृंखला प्रबंधन और सुरक्षा विशेषज्ञ, सोनाटाइप के मुख्य प्रौद्योगिकी अधिकारी ब्रायन फॉक्स कहते हैं, “हम उन कंपनियों से कार या भोजन जैसे उत्पाद नहीं खरीदेंगे, जिनमें वास्तव में भयानक आपूर्ति श्रृंखला प्रथाएं थीं।” “फिर भी हम इसे हर समय सॉफ्टवेयर के साथ कर रहे हैं।”

जो कंपनियाँ जानती हैं कि वे Log4j का उपयोग करती हैं और उपयोगिता के काफी हाल के संस्करण पर हैं, उन्हें चिंता करने की ज़रूरत नहीं है और करने के लिए बहुत कम है। फॉक्स कहते हैं, “यह इसका सबसे अच्छा जवाब है: यह वास्तव में बहुत आसान हो सकता है।”

समस्या तब सामने आती है जब कंपनियां यह नहीं जानती हैं कि वे Log4j का उपयोग करती हैं, क्योंकि इसका उपयोग किसी लाए गए एप्लिकेशन या टूल के एक छोटे से हिस्से में किया जाता है, जिस पर उनकी कोई निगरानी नहीं होती है, और यह नहीं जानते कि इसे कैसे खोजना शुरू करें। ग्लास कहते हैं, “यह समझने जैसा है कि स्टील में कौन सा लौह अयस्क चला गया जो आपकी कार में पिस्टन में अपना रास्ता खोजता है।” “एक उपभोक्ता के रूप में, आपके पास इसका पता लगाने का कोई मौका नहीं है।”

Moussouris कहते हैं, Log4j की भेद्यता, एक सॉफ़्टवेयर लाइब्रेरी में, इसका समाधान करना मुश्किल बना देती है, क्योंकि कई संगठनों को सॉफ़्टवेयर प्रदाताओं को इसे स्वयं पैच करने के लिए प्रतीक्षा करनी पड़ती है – ऐसा कुछ जिसमें समय और परीक्षण लग सकता है। “कुछ संगठनों में उनके अंदर उच्च तकनीकी कुशल लोग होते हैं जो प्रतीक्षा करते समय विभिन्न शमन का काम कर सकते हैं, लेकिन अनिवार्य रूप से, अधिकांश संगठन अपने विक्रेताओं पर उच्च गुणवत्ता वाले पैच का उत्पादन करने के लिए भरोसा करते हैं जिसमें उन पैकेजों में अद्यतन पुस्तकालय या अद्यतन सामग्री शामिल होती है,” वह कहते हैं।

फिर भी संयुक्त राज्य भर में और दुनिया भर में बड़ी और छोटी कंपनियों को आगे बढ़ना है, और तेजी से। उनमें से एक यूके स्थित चैलेंजर बैंक, स्टार्लिंग बैंक था। चूंकि इसके सिस्टम बड़े पैमाने पर इन-हाउस निर्मित और कोडित थे, इसलिए वे जल्दी से यह पता लगाने में सक्षम थे कि उनके बैंकिंग सिस्टम Log4j भेद्यता से प्रभावित नहीं होंगे। बैंक के साइबर सुरक्षा प्रमुख मार्क रैम्पटन कहते हैं, “हालांकि, हम यह भी जानते थे कि हमारे द्वारा उपयोग किए जाने वाले तीसरे पक्ष के प्लेटफॉर्म और लाइब्रेरी से उत्पन्न कोड में संभावित कमजोरियां हो सकती हैं।”

वहां थे। “हम जल्दी से Log4j कोड के उदाहरणों की पहचान करते हैं जो हमारे तीसरे पक्ष के एकीकरण में मौजूद थे जिन्हें अन्य लॉगिंग ढांचे द्वारा हटा दिया गया था,” वे कहते हैं। Starling ने उन निशानों को हटा दिया और उन्हें भविष्य में इस्तेमाल होने से रोक दिया। इसके साथ ही, बैंक ने अपने सुरक्षा संचालन केंद्र (एसओसी) को सैकड़ों हजारों घटनाओं का विश्लेषण करने का काम सौंपा, यह देखने के लिए कि क्या लोग 4j कमजोरियों की तलाश करने वालों द्वारा स्टार्लिंग को लक्षित किया जा रहा था। वे नहीं थे, लेकिन नजर रख रहे हैं। आवश्यक प्रयास महत्वपूर्ण हैं, लेकिन आवश्यक हैं, रैम्पटन कहते हैं। “हमने निर्दोष साबित होने तक ‘दोषी साबित होने तक’ दृष्टिकोण अपनाने का फैसला किया, क्योंकि भेद्यता इतनी गति से सुलझ रही थी कि हम कोई धारणा नहीं बना सकते थे,” वे कहते हैं।

थॉर्नटन-ट्रम्प कहते हैं, “मुझे वह मिलता है जहां से एफटीसी आने की कोशिश कर रहा है।” “वे लोगों को भेद्यता प्रबंधन करने के लिए प्रोत्साहित करने की कोशिश कर रहे हैं। लेकिन यह वास्तविक खतरे के जोखिम के लिए पूरी तरह से बहरा है कि यह भेद्यता कई व्यवसायों के लिए है। वे मूल रूप से आपको किसी ऐसी चीज़ पर पैनिक बटन दबाने के लिए कह रहे हैं जिसे आप जानते भी नहीं हैं कि क्या आपके पास इस समय है।”


अधिक महान वायर्ड कहानियां

.


Source link

Show More

Leave a Reply

Your email address will not be published.

Back to top button